티스토리 뷰

Cloud/AWS

CDK Deploy를 위한 최소한의 Policy

jhbaek 2020. 7. 28. 21:52

CDK Deploy를 위한 Minimum Policy는 무엇일까
당연히 Administrator Role 인줄 알았는데 아래의 Role도 일단 Deploy는 성공했다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudformation:*"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "cloudformation.amazonaws.com"
                    ]
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::cdktoolkit-stagingbucket-*",
            "Effect": "Allow"
        }
    ]
}

CalledVia 부분은 https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference_policies_condition-keys.html 이 문서의 aws:CalledVia를 참조 할 것. 사실 읽어도 잘 모르겠다.

2022년 11월 21일 추가. ssm:GetParameter와 ssm:AssumeRole이 필요한 것 같다. (교차 계정 배포시 특히 필요)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudformation:*"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "cloudformation.amazonaws.com"
                    ]
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::cdktoolkit-stagingbucket-*",
            "Effect": "Allow"
        },
        {
            "Action": "ssm:GetParameter",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "sts:AssumeRole",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

'Cloud > AWS' 카테고리의 다른 글

DynamoDB Single Table 디자인  (0) 2021.02.07
DynamoDB에 PutItem 시 InvalidParameterType: Expected params.Item['*'].N to be a string 발생  (0) 2021.01.13
우아콘2020 배달의민족 마이크로서비스 여행기  (0) 2020.12.16
보안 정책을 통하여 유저에게 MFA 강제하기  (0) 2020.08.24
AWS Pinpoint → Kinesis Firehose → Elasticsearch Event stream 활성화  (0) 2020.07.10
Amazon Pinpoint 이벤트 트리거  (0) 2020.05.31
AWS Java SDK v2 코드로 AWS Elasticsearch에 쿼리하기  (0) 2020.05.31
AWS CloudFormation 안에 Lambda 코드를 포함하여 배포하기  (0) 2020.04.19
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG more
«   2025/07   »
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31
글 보관함